v1.33gをフレッツISDNの環境で利用させていただいおります。
とっても楽しいです。製作者様に感謝です。
さて話題のCodeRedおよびCodeRed IIですが、頻繁にアクセスがあるおかげでプロバイダとの接続が切れないで安定しているようなのです。うーむ喜んで良いのか悪いのか。複雑な心境ですぅ。
最近なんか変なリクエストが多くて、なんだろうと思って久しぶりに来て見ました。
ウイルスだったんですね。5分〜10分に1回ぐらいリクエスト来てます。。。
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=ELF_SADMIND.A
こんなのもあるらしいですね。
ある送信者の80番にリクエストしたら、これが出てました(^^;
参考までに、CodeRed 情報をいくつか集めてみました。
・CodeRed ワームに関する情報(IPA)
・CodeRed IIS ワームに関する情報(Microsoft)
・CodeRed Worm、CodeRed.v3(symantec)
・CODERED.A(TREND MICRO)
・CodeRed、W32/CodeRed.c.worm(McAfee)
CodeRed II について、
今度は www.incidents.org の CodeRed (II) Version 0.1 - August 5, 2001 を参考に。
--------------------------------------------------------------
CodeRed と大きく違うのは、バックドアを開け「トロイ」を仕掛けることで、やられたらかなり致命的な被害を受けます。
つぎのターゲットをアタックするスレッド数も300スレッドに増えました。
また、感染ホストのIPアドレスに似たものを集中的に選ぶようです。
対策は、パッチとリブートでは不足で、OSのクリーンインストールが必要になります。
-------------------------------------------------------------
繰り返しますが、/default.ida?XXXX... で idq.dll が呼ばれて初めて攻撃が成り立つので、AN HTTPD (や IIS 以外の Webサーバ)は大丈夫です。
アクセス集中という弊害はありますが。
佑!さん、
nobody 氏の言われる拒否方法は、私は意図してそうしたつもりはなかったのですが、確かにログ上では ? 以下を出さないですね。
リクエスト自体は受け取っているので気分の問題かもしれませんが。
はっしさん、
そうですね、HTTP としては正当なリクエストですから、これ自体を拒否するにはポート番号を80からほかのポートに変えるしかないでしょう。
ポート80に接続できたら GET /default.ida?... を送るようですから。
なかおさん、
CodeRed 以外の3つはそれぞれ別でしょう。最初のものは CodeRed II の続きのような気もしますが、よくわかりません。
適当なキーワードで検索すると出てくるようですが、いちいち調べてもいられませんね。
苦 沙 彌 さん、
苦沙彌さんのところは絵が強烈ですね。ご自分で描かれたのでしょうか。。。?
default.ida?XXXX... の CodeRed II はまた今までと違うやり方で広まるようです。
nobodyさん
>アクセス制御で
>/default.ida
>を拒否。
おお!なるほど!
考え付きませんでした
さっそくやってみますね( ^ー^)フフッ
ありがとうございます!
>あのながたっらしいxxxxxxxxの部分が403えらーで短くできるんですけどね
アクセス制御で
/default.ida
を拒否。
こんにちは
ホスト名でアクセス制限できるようになっているんですね
さっそく使用させていただきます
巷で騒がれてるコードレッドわーむですが、うちでもアクセスが多発
実害はないとわかっていても嫌ですね
ログを見るとほとんどが海外サーバからのアクセスのようなので、
アクセス制限で、すべてを拒否し、任意の(.jpなど)を許可する
ということは出来ないでしょうか??
これができれば、あのながたっらしいxxxxxxxxの部分が403えらーで短くできるんですけどね
今のところ一つ一つ拒否に登録してますが一向に減らないな〜
IIS使ってる人は即パッチを当てるように!
ってここで言っても仕方ないことですが・・・( ̄▽ ̄;)
GET /default.ida?XXXXX
このリクエストをなくせないところが痛いですよねえ.
かなり頻繁に切るのでアクセス過多が心配です.
>CodeRedは GET /default.ida?NNNNN〜 ですが
最近、次のようなものもでてきました。XXXX が NNNN に変わったものも。
GET /default.ida?XXXXX〜
普通のアクセスより、こっちの方が多いというのはクヤシイ!
CodeRedは
GET /default.ida?NNNNN〜
ですが
GET /_?/c+dir+c:\
GET //_mem_bin/..チ・..チ・..チ・../winnt/system32/cmd.exe
GET /NULL.printer
とかまだまだたくさんの形跡がありましたが
これはなんていうやつでしょうかね?
下の書き込みなのですが、ここの、全文サーチでdefault.idaで検索したところ
解説してある書き込みがありました。
よく調べないのに、投稿してしまって申し訳ありません。
わたしも、AN HTTPを使わせていただいているものなのですが、
数日前に、ログを見たら、
GET /default.ida?NNNNN〜
GET /default.ida?XXXXX〜
というのが、無数にログにのっていて驚きました。
特に、害はないような気はするのですが、心配で、気持ち悪いので、
このことに関して、説明または説明のサイトをどなたか教えていただけないものでしょうか。
よろしくお願いいたします。
httpd を使って自宅サーバを開設して1ヶ月余りになりました。まだいろいろ試行錯誤の段階です。
最近、CodeRed のアタックが頻繁です。log に GET /default.ida?XXXXX〜 と記録されることが何十回あることか。今日は100回を超しているのではないでしょうか。一時より減ったといわれていますが、こんなに頻繁では困ってしまいますね。
セキュリティのことでも頭が痛い自宅サーバです。
苦沙彌のインターネット僧坊 http://kusyami.com